LfDI-Newsletter Nr. 3 - 2021

Liebe Leserinnen und Leser,

in den vergangenen Monaten sind verschiedene Fälle von Datenpannen, Leaks und Datenschutzverstößen großer internationaler Digitalkonzerne bekannt geworden. Die Folgen sind zum Teil gravierend und reichen von Phishing-Betrugsversuchen über Mobbing bis hin zu einem Fall von Selbsttötung.

Besonders aufsehenerregend ist das jüngste Datenleck von Facebook: Die Daten von weltweit mehreren hundert Millionen Facebook-Nutzern sollen entwendet worden sein, darunter Handynummern, Geburtstage und Adressen. Auch Daten von dem Portal "LinkedIn" sind offenbar in einer ähnlichen Größenordnung zusammengetragen und auf illegale Weise zum Verkauf angeboten worden, wie berichtet wurde. Bei einem dritten Portal ist etwas anderes schreckliches geschehen: In Italien ist Anfang dieses Jahres bekannt geworden, dass ein zehnjähriges Mädchen gestorben ist, vermutlich, weil sie sich an einer Tiktok-Mutprobe beteiligt hat. Nach den Nutzungsbedingungen der Plattform hätte das Mädchen aufgrund ihres Alters selbst nicht ein Tiktok-Profil einrichten dürfen. Die italienische Datenschutzaufsichtsbehörde ist daraufhin gegen Tiktok vorgegangen.

Etwas anders gelagert sind die aktuellen Entwicklungen rund um WhatsApp: Trotz massiver Proteste hat der Facebook-Konzern die Nutzungsbedingungen seines Messangerdienstes geändert. Der Dienst räumt sich unter anderem das Recht ein, Daten der Nutzerinnen und Nutzer mit anderen Facebook-Unternehmen zu teilen. Die deutsche Niederlassung von Facebook hat ihren Sitz in Hamburg; mein Kollege Johannes Caspar hat daher mittlerweile eine Anordnung erlassen, die der Facebook Ireland Ltd. verbietet, personenbezogene Daten von WhatsApp zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt.

Die aufgeführten Fälle zeigen zum Teil auf dramatische Weise, welchen Stellenwert Datenschutz und Datensicherheit in digitalen Zeiten haben müssen. Wenn nicht auf allen Seiten mehr für den Datenschutz getan wird, könnten immer mehr Bürgerinnen und Bürger Opfer von Betrugsversuchen, Cyber-Attacken und Mobbing werden. Ich finde es durch und durch positiv, dass die europäischen Datenschutzbehörden gemeinsam auch gegen internationale Datenkonzerne vorgehen. Um die personenbezogenen Daten der EU-Bürgerinnen und Bürgern zu schützen, nehmen die Behörden eine wichtige Rolle ein. Daher muss es heißen: Europäisches Datenschutzrecht first!

Ihr Professor Dr. Dieter Kugelmann

Inhaltsverzeichnis

I. Sicherheitslücken auf Exchange-Servern

II. Kontakterfassungsapps in Corona-Zeiten

III. Corona-Schnelltests und Selbsttests

IV. Informationsoffensive zu „Schrems II“

V. Nutzung von Microsoft 365

VI. DSK-Beschluss zu Auskunfteien und Strom- und Gasverträgen

VII. DSK fordert Bundesgesetz zu Impfpass

VIII. Neue Podcast-Folge

IX. Pressekonferenz "Best of Informationsfreiheit"

X. Neue Debatte um Lobbyregister

XI. EU-Vorschlag zu Verordnung zu Künstlicher Intelligenz

XII. Diskussion um Neuausrichtung der Datei „Gewalttäter Sport“

XIII. Neue Kontaktdaten

Datenpannen / Microsoft

I. Sicherheitslücken auf Exchange-Servern

Beim LfDI Rheinland-Pfalz sind in den vergangenen Wochen zahlreiche Nachfragen sowie Meldungen von Verletzungen des Schutzes personenbezogener Daten (sogenannte Datenpannen-Meldungen) nach Artikel 33 Datenschutz-Grundverordnung (DS-GVO) eingegangen. Der LfDI appelliert an Nutzerinnen und Nutzer von Exchange-Servern zu prüfen, ob sie von der Schwachstelle potenziell betroffen sind. Betroffene sollten die durch Microsoft bereitgestellten Sicherheitsupdates („Patches“) unverzüglich installieren.

Anfang März hatte Microsoft kurzfristig neue Sicherheitsupdates für Exchange-Server veröffentlicht, mit dem die zu dem Zeitpunkt bekannten vier Schwachstellen geschlossen werden konnten. Diese Schwachstellen wurden jedoch anschließend aktiv von Angreifergruppen attackiert, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitteilte. Den Angreifern wurde der Name „Hafnium“ gegeben. Das BSI sprach unter Verweis auf einen IT-Dienstleister davon, dass zehntausende Exchange-Server in Deutschland über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert seien. In diesem Zusammenhang sprach das BSI von einem „sehr hohen Angriffsrisiko“ für Unternehmen. Es bestehe die Gefahr, dass neben dem Zugriff auf die E-Mail-Kommunikation auch der Zugriff auf das komplette Unternehmensnetzwerk erlangt werden könne.

Erfolgreiche Attacken setzen unter anderem voraus, dass eine nicht-vertrauenswürdige Verbindung zu einem Exchange Server etabliert werden kann, zum Beispiel über Outlook Web Access. Laut Informationen des BSI sind Server, welche nur per VPN erreichbar sind oder eben solche nicht-vertrauenswürdige Verbindungen blockieren, nicht betroffen. Das BSI weist zudem daraufhin, dass Nutzerinnen und Nutzer – auch nach Einspielen der Updates – die Systeme überprüfen sollten. Hierfür stellt Microsoft ein Prüfskript bereit. Sofern unbefugte Personen Zugriff auf personenbezogene Daten erhalten haben, stellt dies einen meldepflichtigen Vorfall im Sinne des Artikels 33 DS-GVO dar.

Weitere Informationen:

Pressemitteilung des LfDI RLP

Pressemitteilung des BSI

Pressemitteilung der bayerischen Datenschutzaufsichtsbehörden mit Verweisen auf eine FAQ und eine Praxishilfe

Datenschutzkonferenz / Pandemie

II. Kontakterfassungsapps in Corona-Zeiten

Gäste von Restaurants und Besucherinnen und Besucher von Einrichtungen und Veranstaltungen sollen nach Auffassung des Landesdatenschutzbeauftragten Dieter Kugelmann nicht zur ausschließlichen Nutzung einer bestimmten Kontaktnachverfolgungs-App verpflichtet werden: „Es darf keinen Nutzungszwang für digitale Systeme oder eine bestimmte Anwendung geben.“ Rheinland-Pfalz habe wie alle anderen Bundesländer auch in Verordnungen geregelt, dass Gastronomiebetriebe, Kultureinrichtungen und weitere Stellen zur Erhebung und Verarbeitung von Kontakt- und Anwesenheitsdaten von Besucherinnen und Besuchern verpflichtet seien. Die Vorgabe sei im Sinne des Gesundheitsschutzes und der Bekämpfung der Pandemie sinnvoll. Kugelmann sagt weiter: „In Apps oder in Papierform werden daher personenbezogene Daten gesammelt – etwa Namen, Kontaktadressen, Telefonnummern und Informationen, wer sich mit wem wo aufgehalten hat. „Dabei wäre es aus meiner Sicht nicht akzeptabel, Personen, die über kein Smartphone verfügen oder ein solches nicht nutzen können oder wollen auszuschließen bzw. in eine automatisierte Verarbeitung zu zwingen. Im Sinne der informationellen Selbstbestimmung sollte ihnen eine Wahlmöglichkeit und damit Entscheidungsfreiheit verbleiben.“

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat zur Kontaktnachverfolgung jüngst mehrere Dokumente verabschiedet. In einer Entschließung ruft sie dazu auf, die Chancen der Corona-Warn-App 2.0 zu nutzen. Zur neuen Check-in-Funktion der App heißt es, diese könne „einen erheblichen Beitrag zur Unterbrechung von Infektionsketten leisten“. In einer umfassenden Orientierungshilfe führt die DSK auf, welche Kriterien Apps für eine digitale, datenschutzkonforme Kontaktnachverfolgung erfüllen sollen. Insbesondere für Entwickler und Verantwortliche werden die Anforderungen an derartige Systeme und ihren Betrieb erläutert. Mit Blick auf die Luca-App hat die DSK eine aktuelle Stellungnahme herausgegeben. Darin weist die DSK darauf hin, dass trotz einer dem Grunde nach tragfähigen Konzeption des Luca-Systems weitere technische Schutzmaßnahmen als erforderlich anzusehen sind.

Die Beschlüsse der Datenschutzkonferenz bilden die Grundlage der laufenden Abstimmung des LfDI mit der Landesregierung hinsichtlich des Einsatzes der Luca-App in Rheinland-Pfalz.

Weitere Informationen:

DSK-Orientierungshilfe „Einsatz von digitalen Diensten zur Kontaktnachverfolgung anlässlich von Veranstaltungs-, Einrichtungs-, Restaurants-und Geschäftsbesuchen zur Verhinderung der Verbreitung von Covid-19“

DSK-Entschließung „Chancen der Corona-Warn-App 2.0 nutzen“

DSK-Stellungnahme „Kontaktnachverfolgungssysteme –insbesondere zu „Luca“ der culture4life GMBH“

Pandemie

III. Corona-Schnelltests und Selbsttests

Um bestimmte Dienstleistungen in Handel und Gewerbe in Anspruch nehmen zu können, müssen Kunden, Besucherinnen und Besucher einen aktuellen negativen Corona-Schnell- oder Selbsttest vorlegen. Diese Testverpflichtung betrifft insbesondere den Besuch von Friseuren, Fußpflegeeinrichtungen und den Einzelhandel. In diesem Zusammenhang stellen sich auch datenschutzrechtliche Fragen, die der LfDI in seinen Corona-FAQ beantwortet.

Datenübermittlung / EuGH

IV. Informationsoffensive zu „Schrems II“

Im Rahmen einer Informationsoffensive hat der Landesdatenschutzbeauftragte Unternehmen, Verbände und staatliche Stellen in Rheinland-Pfalz angeschrieben, um Verstößen bei der Übermittlung von Daten ins außereuropäische Ausland vorzubeugen. Nach einem Urteil des Europäischen Gerichtshofs (EuGH) vom vergangenen Jahr sind Datenübermittlungen zum Teil auf eine neue Rechtsgrundlage zu stellen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Professor Dieter Kugelmann, weist in dem nun versandten Schreiben darauf hin: „Ich rate dringend dazu, alle in ihrem Unternehmen stattfindenden Datenverarbeitungsvorgänge im Zusammenhang mit Drittländern anhand des von meiner Behörde bereitgestellten Prüfschemas auf ihre Zulässigkeit hin zu überprüfen und eventuellen Handlungsbedarf zu identifizieren, um Datenschutzverstöße schnellst möglich abzustellen oder zu verhindern.“

Ziel der Informationsoffensive ist, das Bewusstsein der datenverarbeitenden Stellen zu schärfen und damit die Datenschutzrechte der betroffenen Personen, also aller Bürgerinnen und Bürger, mit Blick auf das Schrems II-Urteil zu stärken. In der Entscheidung vom 16. Juli 2020 hatte das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten Privacy Shields erfolgen können. Der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist ferner generell nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann. Das Urteil des EuGH erfordert in vielen Fällen eine grundlegende Umstellung vorhandener Geschäftsmodelle und -abläufe. Der Gerichtshof hat überdies seine Erwartung klar formuliert, dass die Aufsichtsbehörden unzulässige Transfers „aussetzen oder verbieten“.

Nach den nun erfolgten Informationsschreiben wird es stichprobenartige Kontrollen geben. „Kommt der Verantwortliche oder Auftragsverarbeiter zu dem Schluss, dass eine Umstellung seiner Verträge oder Prozesse nicht erforderlich sei, sollte er dies sowie die Gründe für die Entscheidung dokumentieren. Dies kann sanktionsmildernd wirken, sollte meine Behörde zu dem Ergebnis kommen, dass sehr wohl Anpassungen zu treffen waren und sind“, betont Professor Kugelmann.

Weitere Informationen zu Schrems II finden Sie hier.

Cloud-Anwendungen

V. Nutzung von Microsoft 365

Office 365 (neuerdings Microsoft 365) ist eine Softwarelösung der Microsoft Corporation, die verschiedene Office-Anwendungen wie Mailprogramm, Textverarbeitung, Tabellenkalkulation, Präsentationssoftware, Datenbanksoftware, Videokonferenzen u.v.m. umfasst. Hinsichtlich des technischen Betriebs bestehen verschiedene Ausprägungen. So existieren Versionen, die den Betrieb auf der eigenen IT-Infrastruktur des Verantwortlichen oder eines Dienstleisters erlauben sowie Versionen auf der Grundlage von Webanwendungen beziehungsweise Cloud-Funktionalitäten.

Insbesondere im Zusammenhang mit dem pandemiebedingten Distanzunterricht an Schulen ist die Nutzung der Cloud-Version mit ihren Komponenten MS Office 365 und der Kollaborationslösung MS Teams in die Kritik geraten. Hintergrund sind hierbei im Wesentlichen die Probleme, die sich vor dem Hintergrund der Schrems II-Problematik bei der Übermittlung personenbezogener Nutzungs- und Telemetriedaten stellen.

Die bestehende Rechtslage in den USA, die aktuelle Rechtsprechung des Europäischen Gerichtshofs, die umfangreiche Übermittlung personenbeziehbarer Telemetriedaten sowie die in mehrfacher Hinsicht bestehende Intransparenz von Microsoft hinsichtlich der Datenverarbeitung sind Aspekte, aufgrund derer ein datenschutzgerechter Einsatz der cloudbasierten Lösung im Schulbereich in der Regel nicht möglich ist.

Da mit der Lernplattform des Landes und den dortigen Anwendungen (unter anderem Moodle, BigBlueButton) eine datenschutzkonforme Lösung zur Verfügung im Aufbau ist, hat der LfDI einer Nutzung von Microsoft 365 in der gegenwärtigen Form nur bis Ende des Schuljahres 2021/2022 zugestimmt, um den betroffenen Schulen den Umstieg zu ermöglichen.

Der LfDI hat zur Problematik derartiger Anwendungen, insbesondere im Schulbereich, eine Reihe von Informationen veröffentlicht:

Datenschutz in der Schule. Fragen und Antworten für Lehrkräfte

FAQs zu Microsoft Office 365

Energieversorger / Datenschutzkonferenz

VI. DSK-Beschluss zu Auskunfteien und Strom- und Gasverträgen

Auskunfteien und Energieversorgern tragen sich mit dem Gedanken, einen zentralen Datenpool („Energieversorgerpool“) unter anderem zu Strom- und Gasverträgen zu schaffen. Darin sollen auch Daten von Kundinnen und Kunden gespeichert werden, die sich stets vertragskonform verhalten haben – sogenannte Positivdaten. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in einem Beschluss festgehalten, dass entsprechende Pläne nach Maßgabe von Artikel 6 Absatz 1 Satz 1 lit. f) DS-GVO rechtswidrig wären. Es bestehe die Gefahr der „gläsernen Verbraucher*innen“.

In dem Beschluss heißt es unter anderem: „Jede Bürgerin und jeder Bürger hat […] das Recht, den Wettbewerb zwischen den Energieversorgern zu nutzen und am Markt nach günstigen Angeboten zu suchen. Der Wunsch, vermeintliche „Schnäppchenjäger“ in einem zentralen Datenpool zu erfassen, um sie bei Vertragsanbahnung als solche identifizieren und ggf. von Angeboten ausschließen zu können, stellt kein berechtigtes Interesse i. S. d. Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO dar. Es war gerade das Ziel des Gesetzgebers, durch die Liberalisierung des Energiemarktes einen wirksamen und unverfälschten Wettbewerb bei der Versorgung mit Elektrizität und Gas zu ermöglichen. Der Versuch, preisbewusste und wechselfreudige Verbraucher*innen zu identifizieren und sie ggf. von bestimmten Angeboten auszuschließen, liefe dieser Zielsetzung zuwider.“

Vergangenes Jahr sind die Pläne von Auskunfteien und Energieversorgern publik geworden. Ein Arbeitskreis der DSK hat daraufhin einen diesbezüglichen Beschluss vorbereitet. Dem DSK-Beschluss zufolge können die Informationen, die offenbar gesammelt werden sollen oder sollten (etwa über die Anzahl abgeschlossener Verträge und die jeweilige Vertragsdauer), Hinweise darauf geben, ob Verbraucherinnen und Verbraucher eine längere Vertragsbeziehung zu einem Stromversorger beabsichtigen oder regelmäßig Neukunden-Angebote nutzen. Die Folge wäre, dass Verbraucherinnen und Verbraucher, die regelmäßig das für sie kostengünstigste Angebot am Markt wählen, später von Versorgungsunternehmen bei preislich attraktiven Angeboten ausgeschlossen werden könnten. Mit Blick auf die rechtliche Bewertung formuliert die DSK daher: „Selbst wenn die Interessen der Unternehmen als berechtigt angesehen würden, überwiegen in derartigen Fällen die schutzwürdigen Interessen und Grundrechte der Kund*innen. Vertragstreue Verbraucher*innen dürfen zu Recht erwarten, dass keine über den Vertragszweck hinausgehende Verarbeitung ihrer Daten erfolgt, die ggf. ihre Möglichkeiten einschränkt, frei am Markt agieren zu können.“

Der Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder "Energieversorgerpool darf nicht zu gläsernen Verbraucher*innen führen" ist hier zu finden.

Corona / Datenschutzkonferenz

VII. DSK fordert Bundesgesetz zu Impfpass

In Europa nimmt die Debatte zum sogenannten "Impfpass" weiter Fahrt auf. Es wird etwa diskutiert, ob und inwieweit der Besuch eines Restaurants oder eines Konzerts davon abhängig gemacht werden kann, dass die Besucherinnen und Besucher eine erfolgte Anti-Corona-Impfung oder eine überstandene Infektion nachweisen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hat hierzu nun eine Entschließung veröffentlicht. Aus Sicht der Datenschützer sollte der Bund ein auf die konkrete pandemische Lage bezogenes, zeitlich befristetes Bundesgesetz vorlegen.

In dem DSK-Beschluss heißt es etwa: "Um […] für die Datenerhebung und -verarbeitung im privatwirtschaftlichen Bereich Rechtsklarheit, Rechtssicherheit und eine einheitliche Lösung zu erreichen, bedarf es nach Ansicht der DSK einer auf die konkrete pandemische Lage bezogenen, zeitlich befristeten gesetzlichen Regelung. Hierin ist klar und transparent zu regeln, wer, von wem und unter welchen Voraussetzungen Impfdaten, Testergebnisse, Nachweise zu einer überstandenen Infektion und andere Gesundheitsdaten im privatwirtschaftlichen Kontext nutzen darf. Dabei muss das Gesetz den strengen Vorgaben des Artikels 9 Absatz 2 DS-GVO genügen. Die DSK fordert den Gesetzgeber auf, kurzfristig ein entsprechendes Gesetzgebungsverfahren in die Wege zu leiten."

Zur DSK-Entschließung geht es hier.

Podcast

VIII. Neue Podcast-Folge zu Datenpannen

Eine Panne ist immer unangenehm – egal ob auf der echten Autobahn oder auf der Datenautobahn. Was tut man jetzt? Wer hilft einem da heraus? Und vor allem bitte schnell, denn man wollte ja eigentlich gerade irgendwo hin! Während man sich wegen der Autopanne beim Abschleppdienst und der Autoversicherung meldet, müssen Datenpannen (in Rheinland-Pfalz) dem LfDI gemeldet und manchmal sogar zusätzlich die betroffenen Personen unterrichtet werden. Beachten die verantwortlichen Datenverarbeiter diese Meldepflicht nicht, kann sich nicht nur der Schaden für die betroffenen Personen erhöhen, sondern es können sich auch  Konsequenzen für die Datenverarbeiter ergeben. Doch wann, wo und wie gibt man eine solche Meldung richtig ab?

Der Datenfunk weiß Rat. Sonja Wirtz und Kevin Gröhl bearbeiten beim LfDI die eingehenden Datenpannenmeldungen. Im Gespräch mit Philipp Richter erklären Sie genau, was eine Datenpanne ist, ob und wie man sie zu melden hat und warum man auf gar keinen Fall versuchen sollte, eine Datenpanne vor dem LfDI geheim zu halten.

Die Podcast-Folge befindet sich hier.

Informationsfreiheit / Transparenz

IX. Pressekonferenz "Best of Informationsfreiheit"

In der Pressekonferenz "Best of Informationsfreiheit –Transparenz in Corona-Zeiten" hat Professor Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, mit Blick auf die Informationsfreiheit im Jahr 2020 Bilanz gezogen: Die Anzahl der Beratungsanfragen und Beschwerdeeingaben in Rheinland-Pfalz ist mit insgesamt 200 im Vergleich zu den Vorjahren erneut gestiegen (190 im Jahr 2019 und 180 im Jahr 2018). Hierin nicht enthalten sind die zahlreichen telefonischen Beratungen. Auch die Anzahl der Informationsfreiheitsanträge, mit denen beim LfDI selbst Informationen beantragt wurden, stieg mit insgesamt 74 erneut an (55 im Jahr 2019 und 12 im Jahr 2018). Die Pressekonferenz fand virtuell statt. Neben Professor Kugelmann berichteten die zuständigen Referenten beim LfDI, Uli Mack und Oliver Müller.

Die Vermittlungs- und Beratungstätigkeit des LfDI hatte einen starken Bezug zur Corona-Pandemie. Behörden bearbeiteten Informationsfreiheitsanträge zum Teil nicht in der entsprechenden Frist und begründeten diese Fristversäumnisse mit der aktuellen Situation. Im Zuge der Vermittlung zwischen Antragstellern und Behörden nahm der LfDI auf die besonderen Umstände Rücksicht und bat oftmals Antragsteller um Verständnis für die verzögerte Bearbeitung. In einem Fall sprach der LfDI eine Beanstandung gegenüber einer Behörde aus.

Zur Tischvorlage der Pressekonferenz, in der interessante Fälle mit Bezug zur Informationsfreiheit zusammengestellt  sind, geht es hier.

Informationsfreiheit

X. Neue Debatte um Lobbyregister

Nach den Vorgängen um die Beschaffung von Masken, die einzelne Abgeordnete des Deutschen Bundestages betreffen, hat in den vergangenen Monaten die Debatte um ein Lobbyregister auf Bundesebene Fahrt aufgenommen. Hierzu erklärt Professor Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz: „Rheinland-Pfalz war Vorreiter in Sachen Informationsfreiheit: Hier wurde beim Landtag frühzeitig ein Lobbyistenregister eingeführt und eine weitgehende Transparenz-Plattform etabliert; seit Anfang dieses Jahres steht sie in vollem Umfang zur Verfügung. Die veröffentlichten Informationen festigen das Vertrauen in staatliches Handeln. Eine entsprechende Transparenz ist auch mit Blick auf den Einfluss von Dritten auf politische Entscheidungen und Gesetzesvorhaben sinnvoll. Denn ein verpflichtendes Register, in dem Informationen zu Interessenvertreterinnen und Interessenvertretern aufgeführt werden, kann dazu führen, dass die Bürgerinnen und Bürger das Handeln der Exekutive besser nachvollziehen können und so das Vertrauen in die parlamentarische Demokratie wächst.“

In diesem Sinne hat die Konferenz der Informationsfreiheitsbeauftragten (IFK) in Deutschland bereits 2019 gefordert, auch auf Bundesebene ein verpflichtendes Lobbyregister einzuführen. Unmissverständlich heißt es in einem Antrag etwa: „Angesichts der Komplexität der sozialen und wirtschaftlichen Realität und der Regelungsmaterien kann es im demokratischen Willensbildungsprozess oftmals hilfreich sein, auf die Expertise von unterschiedlichen Personen, Gruppierungen und Beteiligten aus Gesellschaft und Wirtschaft zurückgreifen zu können. Die Art und Weise einer solchen Einflussnahme muss jedoch transparent sein. Die Bürgerinnen und Bürger sollen wissen, wer im Laufe des Entstehungsprozesses an der Formulierung eines Gesetzentwurfs beteiligt war und wer in wessen Auftrag und mit welchen Mitteln auf politische Entscheidungen einzuwirken versucht. Verflechtungen insbesondere zwischen Politik und Wirtschaft sind erkennbar zu machen, damit verdeckte Einflussnahmen erschwert sowie eine öffentliche Kontrolle ermöglicht wird.“

Die Entschließung der 37. Konferenz der Informationsfreiheitsbeauftragten (IFK) in Deutschland zum Lobbyregister finden sie hier.

Europäische Union

XI. EU-Vorschlag zu Verordnung zu Künstlicher Intelligenz

Die Europäische Kommission hat einen Verordnungsentwurf zur Regulierung von Künstlicher Intelligenz (KI) vorgelegt. Die angedachte EU-Verordnung wird Rheinland-Pfalz direkt betreffen. Hierzu sagt Professor Dieter Kugelmann: „Der Einsatz von KI-Systemen ist das Zukunftsthema der 2020er und 2030er Jahre: Wie KI-Systeme programmiert, mit Daten gefüttert und eingesetzt werden, wird mit darüber bestimmen, inwieweit Freiheitsrechte innerhalb der Europäischen Union gesichert werden können. Wenn die EU ein überzeugendes Regelwerk verabschiedet, das Bürgerrechts-Bedenken ernstnimmt und gleichzeitig den technologischen Wandel nicht ausbremst, kann Europa zu einem Treiber technologischer Entwicklungen werden. Dass die EU nun anders als China und die USA voranschreitet und einen umfassenden Regulierungsentwurf vorlegt, ist durchweg zu begrüßen. Wer den Einsatz automatisierter Systeme in einer freiheitlichen Gesellschaft etablieren möchte, muss europaweit klare Regeln festzurren.“

Kugelmann sagt weiter: „Das Verbot des Einsatzes von KI zur Massenüberwachung in dem Verordnungsvorschlag ist zu begrüßen, aber es sollte geschärft werden. Technologien zur automatisierten Gesichtserkennung sollen in der EU unter bestimmten Voraussetzungen tatsächlich zulässig sein. Der Entwurf sieht Ausnahmen für den Einsatz entsprechender Gesichtserkennungs- und Stimmerkennungssoftware vor, obwohl gerade in diesem Bereich ein besonders großes Missbrauchspotenzial besteht. Auch Systeme zur Vorratsdatenspeicherung, die sich auf den staatlichen Bereich beziehen, sollten meiner Meinung nach gänzlich untersagt werden. In der EU besteht aufgrund der europäischen Geschichte eine große Ablehnung gegenüber staatlicher Massenüberwachung.“

Die Ausgestaltung der KI-Verordnung wird unmittelbaren Einfluss auf Rheinland-Pfalz haben: Zum einen setzen vor allem größere Unternehmen wie John Deere und BASF bereits auf Künstliche Intelligenz. An welchen Stellen sie in Zukunft neue Wege beschreiten, wird auch von den rechtlichen Rahmenbedingungen innerhalb der EU abhängen. Zum anderen wird in Rheinland-Pfalz vielfältige KI-Forschung betrieben – am Deutschen Forschungszentrum für künstliche Intelligenz (DFKI) in Kaiserslautern, dem Fraunhofer-Institut für Techno- und Wirtschaftsmathematik (ITWM), dem Fraunhofer-Institut für Experimentelles Software Engineering (IESE) sowie an den verschiedenen Universitäten und Hochschulen.

Bis zur Verabschiedung der Verordnung steht nun ein ordentliches Gesetzgebungsverfahren an, bei dem das Europäische Parlament und die Mitgliedstaaten beteiligt sind. Der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss haben eine gemeinsame Stellungnahm angekündigt. Der LfDI Rheinland-Pfalz wird die Debatte konstruktiv begleiten und sich im Gesetzgebungsverfahren einbringen, etwa über den Vorsitz in der Taskforce "Künstliche Intelligenz", welche die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder gebildet hat.

Der LfDI Rheinland-Pfalz hat während seines DSK-Vorsitzes 2019 eine "Hambacher Erklärung zur Künstlichen Intelligenz“ initiiert, die mit breiter Mehrheit verabschiedet wurde. Darin sind sieben „Datenschutzrechtliche Anforderungen an Künstliche Intelligenz“ versammelt. Die Erklärung liegt in deutscher Sprache und in englischer Sprache vor. Zur aktuellen Presseerklärung geht es hier.

Polizei

XII. Diskussion um Neuausrichtung der Datei „Gewalttäter Sport“

Bei der Datei „Gewalttäter Sport“ handelt es sich um eine bundesweite Verbunddatei, in der Daten von Personen gespeichert sind, die Polizeibehörden im Zusammenhang mit Sportveranstaltungen (vor allem Fußballspielen) aufgefallen sind. Zugriff haben die Polizeibeamtinnen und Beamten der Länder und des Bundes. Die Behörden, in denen Vorfälle registriert werden, speichern die Daten und sind für Auskünfte verantwortlich. In den vergangenen Monaten ist es verstärkt zu Kritik an der Datei gekommen.

Professor Dieter Kugelmann, der sich seit über zehn Jahren mit der Datei „Gewalttäter Sport“ befasst, sagt: „Aus meiner Sicht wäre eine Neuausrichtung der Datei „Gewalttäter Sport“ sinnvoll und könnte dazu führen, dass die Datensammlung transparenter und nachvollziehbarer ausgestaltet wird. Es ist überfällig, dass die Betroffenenrechte gestärkt werden: Personen, deren Daten in die Datei eingespeist wurden, müssen proaktiv von den Behörden benachrichtigt werden; bisher geschieht dies erst in einzelnen Bundesländern, etwa in Rheinland-Pfalz. Betroffene müssen überdies verbindlich wissen, an wen sie sich bei Nachfragen und Beschwerden wenden können – etwa wenn Informationen aus ihrer Sicht falsch gespeichert wurden oder Verfahren mittlerweile eingestellt sind. Damit würde endlich ein zentrales Prinzip des Datenschutzrechts Berücksichtigung finden. Das Auskunftsrecht ist auch Voraussetzung dafür, dass Betroffene ihren Rechtsschutz wahrnehmen können.“

Weitere Informationen gibt es hier.

LfDI / Neue Wahlperiode

XIII. Neue Kontaktdaten

Der LfDI ist seit dem 1. April 2021 unter neuen Rufnummern erreichbar. Die Telefonzentrale ist nun unter 06131-8920-0 zu kontaktieren. Die Faxnummer lautet: 06131-8920-299. Weitere Kontaktnummern sind hier zu finden.

Mit dem 18. Mai 2021 beginnt die neue Wahlperiode des rheinland-pfälzischen Landtags. Sofern sich Ihre E-Mail-Adresse mit der neuen Wahlperiode ändert, kann eine Neuregistrierung für diesen Newsletter notwendig sein. Diese ist unter folgendem Link möglich.